AWS官方网站将角色视为权限集合,并将组视为用户集合。但他们看起来仍然一样。您将策略附加到组或角色,然后将组或角色分配给用户。角色和小组之间究竟有什么区别?
答案 0 :(得分:40)
答案 1 :(得分:18)
AWS Groups是标准组,您可以将其视为多个用户的集合,用户可以属于多个组。
AWS IAM角色是不同的物种;它们的运作方式与个人用户类似,只是它们主要用于模拟样式并与AWS API调用进行通信,而不指定凭据。
鉴于IAM角色差异不大,我只强调这一点。有几种类型的IAM角色,如EC2 IAM角色,Lambda等。如果考虑,您可以启动具有EC2 IAM角色的EC2实例;因此,任何与AWS API相关的通信都不需要任何AWS Access Key或Secret密钥进行身份验证,而是可以直接调用API(但是答案很长 - 它使用STS并在后台不断循环使用凭证);它可以做什么的特权或权限由附加到IAM角色的IAM策略决定。
Lambda IAM Role完全相同,只有Lambda函数可以使用Lambda IAM Role等。
答案 2 :(得分:5)
用户:最终用户(思考人)
组:具有一组权限(权限作为策略)的 用户集合
>角色:,您创建角色并 将其分配给AWS资源 ( AWS资源示例可以是客户,供应商,承包商,员工,EC2实例,AWS外部的某些外部应用程序),但请注意,您无法为用户分配角色。
答案 3 :(得分:1)
我一直很困惑这两个功能之间的区别。
简而言之
角色就像具有所有预设策略的标签,可以附加到IAM用户/组或AWS服务上。 IAM用户与账户根用户(Admin)共享同一账户,但由根用户分配使用该账户内的AWS资源的权限。
因此,IAM用户可以直接与AWS服务进行交互;尽管IAM角色无法直接向AWS服务发出请求,但它们应由IAM用户或实例之类的授权实体来承担。 https://aws.amazon.com/iam/faqs/
答案 4 :(得分:0)
一次只能担任一个IAM角色!而且有几个 完全符合这种许可的情况。
Read the faq about: How many IAM roles can I assume?
在两个用例(即组和IAM角色)中,使用的基础工具都是“权限”。
组或IAM角色-> 具有策略-> 策略定义权限-> 将权限分配给组或IAM角色。
答案 5 :(得分:0)
我认为 AWS 角色是一种“sudo”,其中每个 AWS 角色都可以临时提供一组非常具体的提升权限,但不需要提升的凭证。我的印象是,像 sudo 一样,AWS 角色试图防止意外使用特权操作。 我很想知道其他人是否同意这个比喻。